해킹 사고 중 35%, 이메일이 최초 침입 경로

SK인포섹, EQST그룹 정기 미디어 간담회에서 이메일 공격의 양상과 피해 문제 다뤄

#. 해외 지사에서 근무하는 A과장은 최근 본사 정보보호팀에서 걸려온 전화를 받았다. 한국 본사가 사이버 공격을 당해 회사 기밀 정보가 유출됐다는 연락이었다. 얼마 전 A과장이 받은 '견적서 보냅니다'라는 메일을 무심코 열어 본 것이 화근이었다.

18일 SK인포섹(대표 이용환)의 자체 조사 결과에 따르면 올해 상반기에 발생한 해킹 사고 중에서 이메일이 최초 침입 경로가 된 사례가 35%에 달하는 것으로 나타났다. 소프트웨어 및 서버의 보안 취약점, 보안 정책 미설정 등으로 인한 해킹사고가 각각 21%로 뒤를 이었다. SK인포섹은 전일 경기도 성남시 판교 본사에서 이큐스트(EQST)그룹 미디어 간담회를 열고 이 같은 내용을 발표했다.

이메일 공격은 주로 '견적서', '대금청구서', '계약서' 등 수신자의 메일 확인을 유도하는 단어를 활용했다. 또한 메일 제목에 일련번호처럼 숫자를 붙여서 보안 시스템을 우회하는 사례도 발견됐다. 김성동 SK인포섹 EQST 침해사고대응팀장은 "올해 상반기에 탐지된 악성 메일 건수가 17만1400건이며, 이는 작년 한해 동안 탐지한 16만3387건을 상회한다"면서 "남은 하반기까지 고려하면 악성 메일 공격이 전년 대비 2배 이상으로 확대될 것"이라고 말했다.

김성동 SK인포섹 EQST 침해사고대응팀장

이메일을 경로로 기업 시스템에 침투한 이후에는 랜섬웨어에 감염시키거나 채굴형 악성코드를 심는 경우가 많았는데 올해 들어서는 피해를 확산시키기 위해 'AD(Active Directory) 서버'를 장악하는 시도가 많아지고 있는 것으로 조사됐다. AD는 윈도 시스템 관리 도구를 말한다. AD서버가 공격자에게 장악될 경우에는 내부망 권한도 함께 넘겨주게 돼 권한을 확보한 공격자는 윈도 파일 공유 프로토콜(SMB) 기능을 이용해 악성파일을 여러 곳에 전파할 수 있다.

김 팀장은 "최초 이메일로 침투해 AD서버를 장악하고, 윈도 SMB 기능을 통해 여러 시스템으로 악성파일을 전파하는 행위가 공식처럼 이뤄지고 있다"면서 "AD서버가 장악되는 것은 마치 도둑에게 아파트 전 세대의 출입문 키를 통째로 넘겨주는 것과 같다"라고 설명했다. 그는 이어 "회사에서 무심코 열어본 이메일이 큰 피해를 줄 수 있다"면서 "이메일 공격을 효과적으로 차단할 수 있는 전용 솔루션을 도입할 필요가 있으며 회사 임직원들이 이메일 공격에 대한 경각심을 가질 수 있도록 지속적인 모의 훈련이 병행돼야 한다"고 강조했다.

김철현 기자 kch@asiae.co.kr